SSH その7
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
2010/02/16(火) 21:23:37FAQ、リンク集は >>2-5 あたり。
過去ログ
Part1:http://pc.2ch.net/unix/kako/976/976497035.html
Part2:http://pc.2ch.net/unix/kako/1028/10281/1028157825.html
Part3:http://pc5.2ch.net/unix/kako/1058/10582/1058202104.html
Part4:http://pc8.2ch.net/test/read.cgi/unix/1102242908/
Part5:http://pc11.2ch.net/test/read.cgi/unix/1145484540/
Part6:http://pc12.2ch.net/test/read.cgi/unix/1202782840/
0761名無しさん@お腹いっぱい。
2013/01/24(木) 08:48:21.24してたんとちゃうの?
そりゃGPLedなライブラリまでリンクしたらアウトだろう。staticでも
sharedでも。
0762名無しさん@お腹いっぱい。
2013/02/08(金) 14:08:45.63Linuxの/etc/sshディレクトリ内に、ssh_host_rsa_key ssh_host_rsa_key.pub
ってのがあるけど、これは何?
公開鍵なら、このパスフレーズは?
0763名無しさん@お腹いっぱい。
2013/02/08(金) 14:24:23.00ない。
0764名無しさん@お腹いっぱい。
2013/02/08(金) 20:27:19.620765名無しさん@お腹いっぱい。
2013/02/08(金) 20:37:58.600766名無しさん@お腹いっぱい。
2013/02/08(金) 23:27:40.210767名無しさん@お腹いっぱい。
2013/02/09(土) 20:15:33.26どうしてそう思ったかkwsk
0768名無しさん@お腹いっぱい。
2013/02/10(日) 02:17:19.47http://toro.2ch.net/test/read.cgi/unix/1352973453/171-176
0769名無しさん@お腹いっぱい。
2013/02/10(日) 09:30:30.25そのネタなのは知ってるよ
どうしてそのネタを使おうと思ったかkwsk
と聞いたのだが
0770名無しさん@お腹いっぱい。
2013/02/10(日) 09:45:39.030771名無しさん@お腹いっぱい。
2013/03/19(火) 01:34:51.25昔あったビデオ端末みたいなssh & Telnet接続専用機ってないのかな?
もし売ってるなら興味あるんだけど
0772名無しさん@お腹いっぱい。
2013/03/19(火) 02:29:32.71いまどき、単体の製品を探すのは難しいと思う
それに、telnet はいいとして、ssh って使えるのか疑問…
いわゆるシンクライアントの走りだよね
0773名無しさん@お腹いっぱい。
2013/03/19(火) 08:04:09.51でもEFIからtelnetが使えるぐらいのはあった気がする。
0774名無しさん@お腹いっぱい。
2013/03/19(火) 10:01:45.85なんでそんなものが欲しいの?
0775名無しさん@お腹いっぱい。
2013/03/19(火) 10:12:59.82あってもtelnetですか
ssh使えるのはやっぱり無いっぽいですね・・・
>>774
古い機械に興味がありまして、同じような見た目と操作感で今でも使える物は無いかなと思った次第です
実用性云々より趣味ですかね
0776名無しさん@お腹いっぱい。
2013/03/19(火) 10:26:07.09実在しないのに?
0777名無しさん@お腹いっぱい。
2013/03/19(火) 10:31:02.27シリアル接続するやつとか調べた方がいいんじゃね。
0778名無しさん@お腹いっぱい。
2013/03/19(火) 10:38:43.63sun rayみたいなgui端末上のsshクライアントで置換できちゃうからね…
動作するモノを探すの自体大変そう
博物館級だよね
0779名無しさん@お腹いっぱい。
2013/03/19(火) 20:11:20.860780名無しさん@お腹いっぱい。
2013/03/21(木) 01:11:10.560781名無しさん@お腹いっぱい。
2013/03/21(木) 09:57:14.390782名無しさん@お腹いっぱい。
2013/03/21(木) 14:45:11.06ホームディレクトリと鍵のパーミッションと所有者以外に何が考えられますか?
ずっとハマってお手上げですorz
0783名無しさん@お腹いっぱい。
2013/03/21(木) 14:59:40.670784782
2013/03/21(木) 15:20:19.90/var/log/secureではパスワードで正常にログインできた
としか見当たりませんでした。
ssh -vvv server
〜略〜
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Trying private key: /home/server/user/.ssh/identity
debug3: no such identity: /home/server/user/.ssh/identity
debug1: Trying private key: /home/server/user/.ssh/id_rsa
debug3: no such identity: /home/server/user/.ssh/id_rsa
debug1: Trying private key: /home/server/user/.ssh/id_dsa
debug1: read PEM private key done: type DSA
debug3: sign_and_send_pubkey
debug2: we sent a publickey packet, wait for reply
debug3: Wrote 592 bytes for a total of 1717
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
debug2: we did not send a packet, disable method
debug3: authmethod_lookup password
debug3: remaining preferred: ,password
debug3: authmethod_is_enabled password
debug1: Next authentication method: password
すいません、助言をお願いします。
0785名無しさん@お腹いっぱい。
2013/03/21(木) 19:57:43.230786名無しさん@お腹いっぱい。
2013/03/21(木) 20:14:53.60それはssh1の名残だから関係ないよw
0787名無しさん@お腹いっぱい。
2013/03/21(木) 20:25:23.44すみませんが詳しい方のみ回答をお願いします
0788名無しさん@お腹いっぱい。
2013/03/21(木) 21:24:53.09ホームディレクトリそのものでなくても/から辿る途中でgroup writableをworld writableになってる
ホームディレクトリそのものでなくても/から辿る途中でownerが(root|自分)以外になってる
サーバー側のsshd_configでPubkeyAuthentication noになってる
authorized_keysのつもりで別のファイル名になってる
手元の私有鍵がweak keyでサーバーから拒否された(Debianの脆弱性のやつ)
ぐらい考えた。
とりあえず>>784のログは追わずに適当に詳しくない人が言ってるwww
> ホームディレクトリそのものでなくても/から辿る途中でgroup writableをworld writableになってる
group writableかworld writableのtypoだ。すまんこ
あと念のため、/から~/.ssh/authorized_keysまで辿る途中が正しい(ホームより下も影響する)。
パーミッションやオーナー関係かどうかはsshd_configを一時的に
StrictModes noとしたら切り分けられると思うよ。
StrictModes noでログインできるようならパーミッションかオーナーで何かやらかしてる。
0790名無しさん@お腹いっぱい。
2013/03/21(木) 21:34:48.24>no such identity: /home/server/user/.ssh/id_rsa
sssh1の名残?
0791名無しさん@お腹いっぱい。
2013/03/22(金) 00:58:34.83別ポートでサーバをデバッグモードで起動するのが吉
/usr/sbin/sshd -ddd -p 999
ssh -vvv -p 999 server
0792名無しさん@お腹いっぱい。
2013/03/22(金) 12:48:53.05これ、そんなファイルねーぞ。って意味だよ。
sshconnect2.cはその名の通りssh2の接続で使う関数を定義しているソースファイル。
sshconnect2.c:
static Key *
load_identity_file(char *filename)
{
...
if (stat(filename, &st) < 0) {
debug3("no such identity: %s", filename);
return NULL;
}
0793名無しさん@お腹いっぱい。
2013/03/22(金) 12:55:29.65× これ、そんなファイルねーぞ。って意味だよ。
○ これ、そんなファイルstatできねーぞ。って意味だよ。
.ssh/にxビットが無い場合も同じエラー
0794名無しさん@お腹いっぱい。
2013/03/22(金) 14:00:40.74だから、そのファイルは使ってないんだよ、この接続では。
その下で .ssh/id_dsa の方が使われてるだろ。
RSAじゃなくてDSAを使ってるの。
0795名無しさん@お腹いっぱい。
2013/03/22(金) 14:01:56.44すみませんが詳しい方のみ回答をお願いします
0796名無しさん@お腹いっぱい。
2013/03/22(金) 14:32:42.49消えろ、キチガイ荒らし
0797名無しさん@お腹いっぱい。
2013/03/22(金) 14:38:44.770798782
2013/03/22(金) 17:22:24.51>>788
/までのパーミッション見てみましたが、
グループと他ユーザは書き込み不可でした.
/etc/ssh/sshd_configで関係ありそうな所はこうなってます
RSAAuthentication no
PubkeyAuthentication yes
#AuthorizedKeysFile .ssh/authorized_keys
#AuthorizedKeysCommand none
#AuthorizedKeysCommandRunAs nobody
PasswordAuthentication yes
StrictModes noでやってもログインできませんでした。
後だしになっちゃいましたが,
もうちょっと環境を詳しく書きます.
server1: NISサーバ、NFSサーバ
server2: NISクライアント、NFSクライアント
~/.ssh/にはid_dsaとauthorized_keysを置いて
server1と2間の移動は相互に公開鍵認証したいのですが、
server1から2は出来て2から1は出来ない状況です。
sshd_configはserver1と2で同じ内容で、
OSは両方ともRHEL6.4です。
>>791
デバッグモードで起動したら公開鍵認証が通りました!
でも通常モードだと相変わらずパスワードを要求されます。
念のためservice sshd restartしても駄目みたいです。
0799名無しさん@お腹いっぱい。
2013/03/22(金) 19:00:51.53authorized_keysはワールドリーダブルになってる?
0800782
2013/03/22(金) 19:46:49.99その通りです。セキュリティ的にザルっぽいですが・・・
NISでpasswdとshadownとgroupも共有してます。
600だったので644に変更しましたが、効果なしでしたorz
0801名無しさん@お腹いっぱい。
2013/03/22(金) 20:57:56.20otherにx(実行)権限ないとダメだよ。
0803名無しさん@お腹いっぱい。
2013/03/22(金) 21:23:52.270804名無しさん@お腹いっぱい。
2013/03/22(金) 21:24:40.23Raspberry Piと家庭用のテレビで実装できる
0805782
2013/03/22(金) 22:41:47.94やってみましたが・・・(´・ω:;.:...
StrictModes noで試してるので、パーミッション関係は違うのかなと思ったり。
ここまでできないと、変なトコでトンチンカンな設定してそうな気がしてます。
0806名無しさん@お腹いっぱい。
2013/03/22(金) 23:32:34.62scpで読み出すことは可能かな
そのとき取得できるファイルのサイズはいつのだろうか
0807名無しさん@お腹いっぱい。
2013/03/22(金) 23:37:59.06可能。読み出した瞬間のファイルサイズ。
0808名無しさん@お腹いっぱい。
2013/03/22(金) 23:46:41.54> StrictModes noで試してるので、パーミッション関係は違うのかなと思ったり。
authorized_keysはrootが読むから、nfsならnobodyが読めないとダメ。という意味だけど違うのか。
ちゃんと起動するのかわからんが。
「StrictModes noでログインできるならパーミッションかオーナーでやらかしてる」とは書いたが、
「StrictModes noでもコケるならパーミッションもオーナーは正しい」とは書いてないぞ。
とりあえずrootでcat ~誰か/.ssh/authorized_keysはできんの?
0811名無しさん@お腹いっぱい。
2013/03/23(土) 00:40:28.84エスパーしてみると、SE Linuxは有効?
もし有効なら、無効にしてみるとどう?
ttp://bugs.centos.org/view.php?id=4959
0812782
2013/03/23(土) 23:56:51.08authorized_keysってroot権限で読んでるんですね。
知らなかった・・・
>>809
1でのデバッグモードの起動はrootでやりました。
2から1へ接続したのは一般ユーザです。
>>811
認証通ったキタ*・゜゚・*:.。..。.:*・゜(゚∀゚)゚・*:.。. .。.:*・゜゚・*!!!!
ありがとうございます!
皆さん長時間お付き合いいただきありがとうございました!
とりあえずSELinuxが原因なのはわかりましたが、
切っとくのよくないですよね。
設定煮詰めないとなぁ
0813名無しさん@お腹いっぱい。
2013/03/24(日) 00:32:34.740814811
2013/03/24(日) 01:04:09.95乙、どういたしまして。
RHEL6系はSE Linuxがデフォルト有効なのはトラブルの元でしかないような気がする。
インストール直後にまず無効にしてしまうなあ。
0815名無しさん@お腹いっぱい。
2013/03/24(日) 06:44:47.42すみませんが詳しくない方の誤回答を晒しておきますw
0816名無しさん@お腹いっぱい。
2013/03/24(日) 14:16:24.520817名無しさん@お腹いっぱい。
2013/03/24(日) 15:40:28.00こいつあちこちで書いてる。
0818名無しさん@お腹いっぱい。
2013/03/24(日) 16:11:32.41気にいると永遠に繰り返す。
0819名無しさん@お腹いっぱい。
2013/03/24(日) 18:28:33.55そこは問題ないことも当然知ってるし、
見当違いな低レベル回答は荒しと同レベルだなぁ。
0820名無しさん@お腹いっぱい。
2013/03/24(日) 19:05:08.38ゴミで残ってるテスト用につくったid_dsaを使って認証に失敗してると。
0821名無しさん@お腹いっぱい。
2013/03/27(水) 11:14:26.51ChallengeResponseAuthentication no
にしているのしか見当たらないんだが
この認証の利用方法が書いてあるWebページを知りませんか。
0822名無しさん@お腹いっぱい。
2013/03/27(水) 11:51:47.55sshdではなくてPAMの使い方を調べてみれば?
0823名無しさん@お腹いっぱい。
2013/03/27(水) 12:38:34.530824名無しさん@お腹いっぱい。
2013/03/27(水) 16:54:28.42これで検索すれば沢山あるはず
0825名無しさん@お腹いっぱい。
2013/03/27(水) 17:44:50.930826名無しさん@お腹いっぱい。
2013/08/01(木) NY:AN:NY.AN例えばあるPortを特定のIPアドレスからのみログイン可能とすることは出来るでしょうか?
例えば、
Port 42000 # どのアドレスからもログイン可
Port 22 # あるIPからのみログイン可
具体的には大学から自鯖にアクセスしたいのですが、セキュリティのため、
一般のポートに対してアクセスができない制限がかかっています。
そのため22番を開けたいのですが、その代わりIPを大学のみに制限したいのです。
0827名無しさん@お腹いっぱい。
2013/08/01(木) NY:AN:NY.AN0828名無しさん@お腹いっぱい。
2013/08/01(木) NY:AN:NY.ANNetBEUIとかAppleTalkとかからログイン可って意味なんだろ、きっと
0829名無しさん@お腹いっぱい。
2013/08/02(金) NY:AN:NY.AN他の機能と組み合わせるほうがいいと思います。
Linuxならiptablesとか。
0830名無しさん@お腹いっぱい。
2013/08/02(金) NY:AN:NY.AN0831名無しさん@お腹いっぱい。
2013/08/02(金) NY:AN:NY.AN0832名無しさん@お腹いっぱい。
2013/08/02(金) NY:AN:NY.ANhttp://cr.yp.to/ucspi-tcp/tcprules.html
http://cr.yp.to/ucspi-tcp/tcpserver.html
http://cr.yp.to/daemontools.html
この辺使えれば簡単だ
0833名無しさん@お腹いっぱい。
2013/08/02(金) NY:AN:NY.AN0834名無しさん@お腹いっぱい。
2013/08/02(金) NY:AN:NY.ANそれぞれ別の設定ファイルを用意してプロセス2つ起動するのがいちばん簡単。
hosts.allowでアクセス制限しようとすると共通になっちゃうので
sshd_config自体で制限する必要があるけど。
つーか、公開鍵認証以外を拒否するようにしておけば、
port 22だけで何も問題ないと思うんだけど、それで侵入された例ってあるのかね?
昔debianがやらかした弱い鍵を放置しておいたとかいうなら話は別だけど。
0835826
2013/08/02(金) NY:AN:NY.AN確かにsshd_configでやる必要はないので、
iptables(というかufw)で設定してみます。
0836名無しさん@お腹いっぱい。
2013/09/06(金) 03:29:33.24確かにログインした直後、指定したディレクトリがルートの様に見えて
それ以上、上に行けない事は確認したのですが
ログイン直後のディレクトリにファイルの書き込みが出来ません。
所有者がrootでないといけないとの事で
ググると別のディレクトリを作ろう と書いてあるページが数多くヒットするのですが
sftpでログインする、ログイン直後のディレクトリより上に行けない、ログイン直後のディレクトリの中身は空っぽ、ログイン直後のディレクトリにファイルの読み書きが出来る
設定はどの様にすればよいのでしょうか
0837名無しさん@お腹いっぱい。
2013/09/06(金) 12:00:19.210838名無しさん@お腹いっぱい。
2013/09/06(金) 12:19:08.230839名無しさん@お腹いっぱい。
2013/09/06(金) 12:56:25.030840名無しさん@お腹いっぱい。
2013/09/06(金) 17:34:15.19┃→E すみませんがくわしいかたのみかいとうをおねがいします┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
0841名無しさん@お腹いっぱい。
2013/09/06(金) 18:25:43.900842名無しさん@お腹いっぱい。
2013/09/06(金) 18:33:04.240843名無しさん@お腹いっぱい。
2013/09/07(土) 10:59:24.620844名無しさん@お腹いっぱい。
2013/09/07(土) 20:29:29.460845名無しさん@お腹いっぱい。
2013/09/07(土) 21:28:01.810846名無しさん@お腹いっぱい。
2013/09/20(金) 16:08:56.77スマートフォンでGmailの確認やTwitterなど、ちょっとしたWebサイトを見るのであればこの速度で十分と感じております。
この速度でもsshにてVPSに接続して作業できるかと思っていたのですが、速度が頭打ちになっているのかターミナルに文字を入力したものが実際に表示されるのも少々遅延してしまいます。
SSHは100kbps以上の通信を行なっているのでしょうか?
リモートファイルの編集作業などはEmacsのTrampを使うなどで対策が行えるのですが、ターミナルでのコマンド操作でも快適に出来る方法はありませんでしょうか?
moshというものを試してみたのですが同様の遅延がありました。
0847名無しさん@お腹いっぱい。
2013/09/20(金) 17:03:35.760848名無しさん@お腹いっぱい。
2013/09/20(金) 17:12:38.15bpsとかの速度の問題ではなくて、pingの問題ですね
0849名無しさん@お腹いっぱい。
2013/09/20(金) 17:13:11.980850名無しさん@お腹いっぱい。
2013/09/20(金) 20:24:37.78あまりに私の知識が足りていないようで申し訳ありません。
>>848
pingの問題とはどのようなものになるでしょうか?少々調べてみたのですが、記事を見つけることができませんでした。
通信速度の問題で無いという事は、テザリングや携帯電話網通信の問題という事でしょうか?
あまりにもレベルが低い内容のようですが、どうかご説明いただけると助かります。
0851名無しさん@お腹いっぱい。
2013/09/21(土) 01:41:12.47それだけのことですがな
ちなみに「通信速度」って遅延とは(関係はするけど)一応別ですよ?
どういう意味で使っているか知りませんが
0852名無しさん@お腹いっぱい。
2013/09/21(土) 14:19:18.66どうしても理解が出来ず、私なりに考えた憶測になるのですが、通信速度の問題でなく遅延の問題ということは、
ノートPCからWiFiでスマートフォン、スマートフォンからテザリングでDoCoMo、DoCoMo回線からインターネット、インターネットからVPS
と、この4段階で各々の回線間に遅延が出ているということで宜しいでしょうか?
公共無線LANで遅延が出ないということは、DoCoMoからインターネットに大きく遅延があるということでしょうか?
この場合、外からSSHで操作をしたい場合は高速契約のSIMを使ってテザリングをしても同様になりそうなのですが、皆様はどのように外で作業されておりますでしょうか?
WiMAXで解決できるのであれば契約を変えようと思っているのですが、遅延がでない(少ない)方法があればお教えいただければと思います。
また、コマンド入力のレスポンスが送れるのは特に気にならないのですが、コマンドを入力際に一文字づつの入力に遅延があることのみ気になります。
ローカルでコマンド入力をバッファリングし、エンターを押した際にリモートに送ることで解決でそうなのですが、そのような方法はありませんでしょうか?
どうも私の知識が足りず、質問ばかりになりましたがどうかよろしくお願いいたします。
0853名無しさん@お腹いっぱい。
2013/09/21(土) 14:48:25.59>>852
なので遅延は回線次第だよ。気になるならMosh使えば?
0854名無しさん@お腹いっぱい。
2013/09/21(土) 16:01:11.560855名無しさん@お腹いっぱい。
2013/09/21(土) 17:03:48.88静止軌道だと最低でも往復で200ms以上の遅延があるし
0856名無しさん@お腹いっぱい。
2013/09/21(土) 17:45:06.330.12*2 = 0.24
240ms遅延だな。
0857852
2013/09/21(土) 23:01:51.60私の理解が概ねあっていたようで、ヒントを下さった皆様有難うございました
>>853
契約によっても変わるようですね。自宅の回線を含めてWiMAXへの移行を考えていたため、WiMAXの遅延も考えて移行しなけれればならないと参考になりました。
ありがとうございました。
moshは、>>846に書かせていただいたとおり私の環境では改善はありませんでした。
設定などがあるのかしらべてみます。
0858名無しさん@お腹いっぱい。
2013/09/23(月) 13:31:21.41moshはこっちにレスポンス来る前に推測で文字表示してるから早く感じるだけ
とかそんなんだったような
その部分は下線付きで表示されるから慣れないと気持ち悪い
0859名無しさん@お腹いっぱい。
2013/09/24(火) 12:21:10.170860名無しさん@お腹いっぱい。
2013/09/26(木) 00:53:28.78zsh: No such file or directory
ssh_exchange_identification: Connection closed by remote host
/usr/local/bin/mosh: Did not find remote IP address (is SSH ProxyCommand disabled?).
原因わかります?
0861名無しさん@お腹いっぱい。
2013/09/26(木) 07:17:31.10
■ このスレッドは過去ログ倉庫に格納されています